Imaginez lancer votre protocole DeFi, faire auditer le code par les meilleures firmes, obtenir le feu vert partout… et découvrir trois mois plus tard qu’un pirate vous a volé les clés dès la première seconde du déploiement. C’est exactement ce qui vient d’arriver à USPD, un stablecoin décentralisé qui se voulait « le dollar de la nation décentralisée ». Résultat : environ 1 million de dollars évaporés en quelques minutes.
Un hold-up silencieux qui a duré 80 jours
Le 16 septembre 2025, le contrat proxy d’USPD est déployé sur Ethereum. À peine quelques millisecondes après le début de la transaction de déploiement, un attaquant passe devant (front-run) grâce à une transaction Multicall3 ultra-précise. Il s’empare des droits d’administrateur du proxy avant même que le script officiel n’ait eu le temps de les verrouiller.
Pire : il installe immédiatement une implémentation malveillante « fantôme » qui redirige toutes les appels vers le contrat audité et légitime. Résultat ? Pour tout le monde – utilisateurs, auditeurs, Etherscan, Dune Analytics – le protocole paraissait parfaitement normal. Les événements émis étaient falsifiés, les slots de stockage maquillés. Une invisibilité totale.
« Le code audité fonctionnait exactement comme prévu. Le problème ne venait pas du code, mais du fait que nous ne contrôlions plus le contrat depuis le premier bloc. »
L’équipe USPD, 5 décembre 2025
CPIMP : la nouvelle terreur des déploiements
Les chercheurs en sécurité baptisent ce vecteur CPIMP (Contract Proxy Initialization Manipulation Attack). Concrètement :
- L’attaquant surveille le mempool à la recherche de transactions de déploiement de proxies populaires (OpenZeppelin Transparent Proxy, etc.)
- Il repère la transaction d’initialisation qui contient l’appel « upgradeTo » ou « setImplementation »
- Il front-run avec une transaction qui appelle d’abord « admin() » puis « changeAdmin() » vers son adresse
- Il déploie ensuite sa propre implémentation malveillante qui forward tout vers la vraie
Le tour est joué. Le pirate devient propriétaire silencieux du protocole pendant des mois.
Le jour où le masque est tombé
Le 4 décembre 2025 au soir, le pirate décide de passer à l’action. En une seule transaction, il :
- Upgrade le proxy vers une nouvelle implémentation malveillante sans forwarding
- Mint 98 millions d’USPD vers son portefeuille
- Retire 232 stETH (environ 740 000 $) des réserves
- Swap une partie sur Curve et Uniswap pour brouiller les pistes
Le cours de l’USPD, qui flottait tranquillement autour de 1 $, s’est effondré en quelques minutes. Les alertes ont retenti partout.
Montant total perdu : ~1 020 000 $ (232 stETH + impact sur le peg)
Date du vol effectif : 4 décembre 2025, 23h47 UTC
Contrôle pris le : 16 septembre 2025, 14h22 UTC
Pourquoi personne n’a rien vu pendant trois mois ?
La réponse est à la fois technique et terrifiante. L’implémentation malveillante contenait un « proxy fantôme » qui :
- Forwardait 100 % des appels vers le vrai contrat
- Émettait les mêmes événements (Transfer, Approval…) avec les bons paramètres
- Manipulait les retours de
implementation()pour afficher l’adresse légitime - Utilisait des slots de stockage « shadow » pour ne pas écraser les vrais
Même les outils les plus avancés comme Tenderly ou Foundry n’auraient rien détecté sans analyse forensique approfondie.
Les leçons brutales pour toute la DeFi
Cet incident n’est pas isolé. Décembre 2025 est déjà le mois le plus coûteux de l’année en matière d’exploits :
| Protocole | Montant | Type |
|---|---|---|
| Upbit | 30 M$ | Hot wallet compromis |
| Yearn Finance (yETH legacy) | 9 M$ | Minting infini |
| USPD | 1 M$ | Proxy takeover |
| Total décembre (au 5/12) | > 100 M$ | |
Les développeurs commencent à parler d’une nouvelle génération de défenses :
- Utilisation de CREATE3 pour des adresses prédictibles et déploiement en deux étapes
- Timelocks obligatoires sur les fonctions admin après déploiement
- Vérification automatique post-déploiement via scripts off-chain
- Adoption massive de Gnosis Safe + multisig 3/5 minimum pour les droits admin
- Audits spécifiques aux patterns de proxy (OpenZeppelin commence déjà à proposer ce service)
La réponse de l’équipe USPD : bug bounty XXL
Dans un geste plutôt rare, l’équipe a immédiatement proposé au pirate de garder 10 % des fonds (100 000 $) s’il restitue le reste dans les 72 heures. Une pratique qui devient presque standard dans la DeFi (on l’a vu avec Poly Network, Mango Markets, Curve…).
Ils travaillent également avec Chainalysis, TRM Labs et plusieurs exchanges centralisés pour geler les fonds sortants. Au moment où j’écris ces lignes, environ 40 % des stETH volés restent sur l’adresse de l’attaquant.
Et maintenant ? L’avenir d’USPD
Le protocole est actuellement en pause totale. L’équipe annonce vouloir repartir sur une v2 avec :
- Architecture sans proxy (immutable contracts)
- Gouvernance par une DAO multisig 7/12 composée de projets reconnus
- Partenariat avec un vault institutionnel pour les réserves
Mais la confiance est durablement abîmée. Beaucoup d’utilisateurs demandent un remboursement intégral via les trésoreries restantes ou une éventuelle levée de fonds d’urgence.
Ce qui est certain, c’est que l’exploit USPD marque un tournant. On entrait dans l’ère où même un audit parfait ne suffit plus. La guerre se déplace maintenant sur la sécurité du déploiement lui-même et sur la gouvernance post-lancement.
La DeFi grandit, mais elle grandit dans la douleur. Et chaque million perdu nous rapproche – paradoxalement – d’un écosystème plus robuste demain.
À suivre de très près.
